Ocak ayından itibaren Hindistan Menkul Kıymetler ve Borsa Kurulu’na (SEBI) bağlı yatırım ve finans firmaları, gezegendeki en kapsamlı siber güvenlik düzenlemelerinden bazılarıyla karşı karşıya kalacak.
SEBI’ler 205 sayfa Düzenlemeye Tabi Kuruluşlar (RE’ler) için Siber Güvenlik ve Siber Dayanıklılık Çerçevesi (CSCRF) Ağustos ayında yayınlandı ve halihazırda mevcut SEBI siber güvenlik genelgeleri kapsamında olan kuruluşlar için 1 Ocak 2025’te, kapsanacak olanlar için ise 1 Nisan 2025’te yürürlüğe girecek. CSCRF tarafından ilk kez.
Belge, güçlü siber güvenlik için iyi düşünülmüş bir plandır ve yatırım firmalarının, varlık yöneticilerinin ve diğer RE’lerin, derinlemesine denetim ve raporlama gereksinimleriyle sonuçlanan sıkı kontrolleri ve uygulamaları benimsemesini gerektirir.
Ayrıca şunu okuyun: Hint Şirketleri için Zorunlu Karanlık Web İzleme: SEBI Siber Güvenlik Önlemlerini Destekliyor
Geniş Hedef ve İşlevlerden Özel Uygulamalara
Çerçeve, Hindistan Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-In) Siber Kriz Yönetim Planından (CCMP) benimsenen beş siber dayanıklılık hedefine dayanmaktadır: Tahmin Et, Dayan, Kontrol Altına Al, Kurtar ve Geliştir.
Bu geniş hedefler altı siber güvenlik işleviyle bağlantılıdır: Yönetişim, Tanımlama, Koruma, Tespit Etme, Yanıt Verme ve Kurtarma. Hem önleme hem de dayanıklılığa odaklanan çerçeve, kuruluşların yalnızca altyapılarını güvence altına almalarını değil, aynı zamanda potansiyel siber olaylardan hızlı bir şekilde kurtulmalarını da sağlamalarını zorunlu kılıyor.
Beklemek SEBI çerçevesindeki işlev, CTI’yi hayati bir araç olarak etkili bir şekilde konumlandıran “bilgili hazırlık” ihtiyacını vurgulamaktadır. CTI, tehdit aktörlerine, taktiklere ve trendlere ilişkin gerçek zamanlı bilgiler sağlayarak kuruluşların ortaya çıkan riskleri proaktif bir şekilde ele almasına olanak tanır.
SEBI, kuruluşların düzenli risk değerlendirmeleri, tehdit izleme ve güvenlik açığı taramaları yürütmesini ve RE’lerin sürekli tetikte olma durumunu sürdürmeleri için önerilen istihbarat odaklı yaklaşımla uyumlu olmasını zorunlu kılmaktadır.
Buradan itibaren çerçeve çok derin ve spesifik hale gelir ve çoğu kuruluşun yönergeleri karşılamada yardıma ihtiyacı olacaktır.
Örneğin, tehdit istihbaratı alanında standartlar, yatırım kuruluşlarının, marka istihbaratı ve müşteri koruması için, veri ve kimlik bilgisi sızıntılarına yönelik yayından kaldırma hizmetleri ve izleme ile güvenlik açığı ve tehdit uyarıları ve tavsiyelerini yönetme ve birleştirme süreçleri dahil olmak üzere karanlık web izleme uygulamasını gerektirir. (aşağıdaki resme bakın).
CERT-In ve Ulusal Kritik Bilgi Altyapısı Koruma Merkezi (NCIIPC) bir miktar destek sözü veriyor ancak RE’ler, aşağıdakiler gibi yapay zeka destekli kapsamlı bir tehdit istihbaratı sağlayıcısının hizmetlerine ihtiyaç duyabilir: Cyble gereksinimleri tam olarak karşılamak için.
CSCRF Gereksinimleri
CSCRF belgesi, ayrıntılara daha da derinlemesine girmeden önce her alan için derinlemesine hedeflerin ana hatlarını çiziyor.
Örneğin, Koruma alanı, kritik sistemleri belirlemek için sürekli risk değerlendirmeleri yürüttükten sonra, belgenin daha sonra derinlemesine ele alacağı sekiz geniş siber güvenlik kontrolünü içerir. Bunlar şunları içerir:
- Kimlik doğrulama ve erişim politikasının yanı sıra günlük toplama ve belgelenmiş saklama politikası
- Hassas bilgilere, ana bilgisayarlara ve hizmetlere erişimi kısıtlamak için ağ bölümlendirme teknikleri
- Veri koruması için Dosya Tabanlı Şifreleme (FE) ile birlikte Tam Disk Şifrelemenin (FDE) katmanlanması
- Kritik sistemlere yönelik tüm yazılımların/uygulamaların geliştirilmesi ve özellik geliştirmeleri için ayrı üretim ve üretim dışı ortamlar
- CERT-In yerleşik bir BS denetim organizasyonu tarafından yapılan periyodik denetimler, uygulama ve uyumluluğu değerlendirir
- Kapsamlı bir VAPT kapsamına dayalı olarak tüm kritik sistemler, altyapı bileşenleri ve diğer BT sistemleri için BT ortamındaki güvenlik açıklarını tespit etmeye yönelik Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VAPT)
- Uygulama Programlama Arayüzü (API) güvenliği ve Uç Nokta güvenlik çözümleri “hız sınırlama, azaltma ve uygun kimlik doğrulama ve yetkilendirme mekanizmalarıyla uygulanacaktır”
- Piyasa Altyapı Kurumları (MII’ler) ve Nitelikli Res için zorunlu ISO 27001 sertifikası
SEBI Çerçevesindeki Diğer Kritik Gereksinimler: CTI Neden Önemlidir
- Yönetişim ve Risk Yönetimi: SEBI yönergeleri, her RE’nin üst yönetim tarafından onaylanmış bir Siber Güvenlik ve Siber Dayanıklılık politikasını sürdürmesini gerektirir. Siber tehdit ortamları geliştikçe CTI, sektöre özgü tehditler hakkında bilgi sağlayarak, daha doğru risk değerlendirmesi ve öncelik belirlemeye yardımcı olarak bu politikaları bilgilendirir.
- Sürekli İzleme ve Tespit: Çerçeve, Güvenlik Operasyon Merkezlerinin (SOC) ve sürekli izlemenin önemini vurgulamaktadır. Kuruluşlar, CTI beslemelerini SOC iş akışlarına dahil ederek aktif tehditler hakkında bilgi sahibi olur ve anormallikleri tespit edip hızlı bir şekilde yanıt verme konusunda daha iyi bir konuma gelir. SEBI ayrıca gerçek dünyadaki saldırı senaryolarını doğru bir şekilde simüle etmek için CTI verilerinden önemli ölçüde yararlanan periyodik kırmızı ekip egzersizlerini de zorunlu kılmaktadır.(2024-0118-Politika-SEBI_C…).
- Olay Müdahalesi ve Kurtarma: SEBI’nin kapsamlı bir Olay Müdahale Yönetim planına yaptığı vurgu, CTI’nin saldırılara yanıt verme ve saldırılardan kurtulma konusundaki rolünü vurgulamaktadır. Tehdit aktörleri ve teknikleri hakkındaki istihbarat sayesinde kuruluşlar proaktif müdahale stratejileri geliştirerek olayların etkisini en aza indirebilir ve hızlı iyileşme sağlayabilir.
SEBI Düzenlemesine Tabi Kuruluşlar için CTI’yi Entegre Etmenin Faydaları
- Gelişmiş Tehdit Farkındalığı: Küresel tehdit eğilimlerine ilişkin düzenli güncellemeler, kuruluşların siber riskleri daha etkili bir şekilde öngörmesine ve azaltmasına olanak tanır.
- Operasyonel Verimlilik: Ekipler, CTI öngörülerine dayalı olarak tehditleri önceliklendirerek yüksek riskli konulara odaklanabilir ve kaynak tahsisini optimize edebilir.
- Geliştirilmiş Uyumluluk: CTI’nin entegre edilmesi, özellikle gerçek zamanlı tehdit tespiti, raporlama ve denetim gibi alanlarda SEBI’nin uyumluluk gereksinimlerinin karşılanmasına yardımcı olur.
Raporlama, Yanıt ve Ötesi
Raporlama gereklilikleri tek başına bazıları için zorluk teşkil edebilir; aşağıdaki örnek VAPT raporuna bakın:
Çerçevenin devam eden, uyarlanabilir bir süreç olması amaçlanmaktadır. Belgede, müdahalenin her zaman güvenlik kontrollerinin daha da geliştirilmesiyle takip edilmesi gerektiği belirtiliyor:
“Belirlenen güvenlik açıklarıyla mücadele etmek ve saldırı yüzeylerini azaltmak için uyarlanabilir ve gelişen kontroller oluşturulacak ve RE’nin siber güvenlik ve siber dayanıklılık stratejisine dahil edilecektir.”
Kapanış Notları ve Öneriler
SEBI’nin güncellenen CSCRF’sinin ardından CTI, Hindistan’ın finans sektöründeki güvenlik ekipleri için vazgeçilmez hale geldi. Güvenlik operasyonlarını proaktif bir şekilde SEBI yönergeleriyle uyumlu hale getirerek ve tehditlere bilinçli yanıt vermek için CTI’dan yararlanarak kuruluşlar hem uyumluluk hem de dayanıklılık elde edebilir. Tehditlerin daha karmaşık ve sıklaştığı bir ortamda CTI, ortaya çıkan risklere karşı savunma sağlamak için gerekli istihbarat avantajını sunarak kritik finansal altyapı için güçlü koruma sağlar.
CSCRF’nin uygulanması bazı kuruluşlar için kolay olmayacak ancak nihai sonuç, dünyanın gıpta ettiği güvenli bir menkul kıymetler sektörü olabilir. Ve finans kurumlarının bu avantajı kazanmalarına daha fazla yardımcı olmak için Cyble gibi CTI platformları oyunun kurallarını değiştirebilir.
İlgili